Quando è lecito controllare la posta elettronica aziendale di un dipendente senza violare la sua privacy?

Una recente sentenza del Tribunale di Genova, relativa a una dipendente licenziata dopo che il datore di lavoro controllando la sua email aveva scoperto che aveva inviato verso terzi dati riservati, permette di approfondire il tema della liceità delle verifiche sull’email di un lavoratore dipendente anche per scopi difensivi.

Si tratta di un tema che rimane sempre di grande attualità e di ampio contrasto tra gli addetti ai lavori rispetto al quale si richiama il Provvedimento generale dell’Autorità Garante per la protezione dei dati personali del 1° marzo 2007 che per quanto datato è ancora valido laddove conforme al Regolamento europeo sulla protezione dei dati n. 2016/679 (GDPR), nonché la giurisprudenza della Corte europea dei diritti dell’uomo relativa all’art. 8, Convenzione europea dei diritti dell’uomo.

Ormai presso tutti gli uffici il collegamento ad Internet è molto diffuso, ma non bisogna dimenticare che l’uso di un computer collegato ad una rete esterna deve essere sempre molto accorto e responsabile innanzitutto per ovvie ragioni di sicurezza.

Non poche, poi, sono le questioni sorte in merito alla legittimità dell’accesso da parte del datore di lavoro o dirigente alla casella di posta elettronica aziendale del dipendente.

Al fine di risolvere tali questioni è opportuno ricordare alcuni importanti concetti:

  • l’equiparazione della posta elettronica alla corrispondenza tradizionale la cui libertà e segretezza viene tutelata dall’art. 15 della Costituzione;
  • la legittimità del controllo della casella della posta elettronica del proprio dipendente da parte del datore di lavoro alla luce di quanto prescritto dall’attuale disciplina in tema di rapporti di lavoro, compreso lo Statuto dei lavoratori;
  • la tutela della privacy alla luce di quanto stabilito dal GDPR.

La problematica non è semplice ed il Garante alla luce dei principi di cui sopra è intervenuto già da tempo con un Provvedimento nel quale ha chiarito che i datori di lavoro pubblici e privati non possono controllare la posta elettronica e la navigazione in Internet dei dipendenti, se non in casi eccezionali.

Spetta al datore di lavoro definire le modalità d’uso di tali strumenti ma tenendo conto dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali.

Ma cosa succede nel caso di messaggi inerenti al rapporto di lavoro? Anche in questo caso opera il divieto di controllo?

L’Autorità prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli. Il Garante vieta poi la lettura e la registrazione sistematica delle e-mail così come il monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un controllo a distanza dell’attività lavorativa vietato dallo Statuto dei lavoratori (art. 4).

Viene inoltre indicata tutta una serie di misure tecnologiche e organizzative per prevenire la possibilità, prevista solo in casi limitatissimi, dell’analisi del contenuto della navigazione in Internet e dell’apertura di alcuni messaggi di posta elettronica contenenti dati necessari all’azienda.

Il Provvedimento raccomanda l’adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l’uso di Internet e della posta elettronica.

Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori.

Per quanto riguarda Internet è opportuno ad esempio:

  • individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;
  • utilizzare filtri che prevengano determinate operazioni, quali l’accesso a siti inseriti in una sorta di black list o il download di file musicali o multimediali.

Per quanto riguarda la posta elettronica, è opportuno che l’azienda:

  • renda disponibili anche indirizzi condivisi tra più lavoratori (info@ente.it; urp@ente.it; ufficioreclami@ente.it), rendendo così chiara la natura non privata della corrispondenza;
  • valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale;
  • preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;
  • metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l’ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all’attività lavorativa.

Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità. In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l’area da richiamare all’osservanza delle regole. Solo successivamente, ripetendosi l’anomalia, si potrebbe passare a controlli su base individuale.

Il Garante della Privacy ha chiesto infine particolari misure di tutela in quelle realtà lavorative dove debba essere rispettato il segreto professionale garantito ad alcune categorie, come ad esempio i giornalisti.

Con riferimento allo Statuto dei lavoratori va ricordato, però, che la giurisprudenza della Corte di Cassazione già da un pò di tempo ha iniziato a rivedere l’applicazione dell’art. 4.

Difatti, con sentenza n. 4746 del 2002 la Cassazione ha escluso l’applicabilità di detto articolo ai controlli diretti ad accertare condotte illecite del lavoratore, i c.d. controlli difensivi.

Il ragionamento della Corte, in tal senso, è chiaro: “Ai fini dell’operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dell’attività dei lavoratori previsto dall’art. 4 l. n. 300 citata, è necessario che il controllo riguardi (direttamente o indirettamente) l’attività lavorativa, mentre devono ritenersi certamente fuori dell’ambito di applicazione della norma i controlli diretti ad accertare condotte illecite del lavoratore (cosiddetti controlli difensivi), quali, ad esempio, i sistemi di controllo dell’accesso ad aree riservate, o gli apparecchi di rilevazione di telefonate ingiustificate.

Successivamente, con la pronuncia n. 15892 del 2007, la Corte ha tuttavia ammesso un limite, affermando che i controlli difensivi non possono giustificare l’annullamento di ogni garanzia: “Né l’insopprimibile esigenza di evitare condotte illecite da parte dei dipendenti può assumere portata tale da giustificare un sostanziale annullamento di ogni forma di garanzia della dignità e riservatezza del lavoratore”.

Inoltre, più di recente, la stessa Corte di Cassazione con la sentenza n. 22662 dell’8 novembre 2016, ha affermato che “in tema di controllo del lavoratore, le garanzie procedurali imposte dall’art. 4, secondo comma, legge n. 300/1970, per l’installazione di impianti e apparecchiature di controllo, richiesti da esigenze organizzative e produttive, ovvero dalla sicurezza del lavoro, dai quali derivi la possibilità di verifica a distanza dell’attività dei lavoratori, trovano applicazione ai controlli, c.d. difensivi, diretti ad accertare comportamenti illeciti dei lavoratori, quando, però, tali comportamenti riguardino l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, e non, invece, quando riguardino la tutela di beni estranei al rapporto stesso.